La Agencia Española de Protección de Datos aclara sus funciones consultivas
11-11-2021 — AR/2021/155
La Agencia ha definido en una instrucción cómo va a aplicar sus funciones consultivas, en general limitándolas a los casos que prevé la normativa vigente, para centrarse en las funciones de control y supervisión que tiene encomendadas.
- Compartir
- Correo electrónico
La Agencia Española de Protección de Datos (AEPD) ha emitido, el 2-11-2021, Instrucción 1/2021,1 con las directrices sobre la función consultiva de la Agencia, de conformidad con el RGPD, la LOPDyGDD y su propio estatuto (ver el soporte normativo detallado en nota 1).
Esta instrucción la emite la AEPD tras más de 5 años de la vigencia del RGPD.
Función consultiva de la AEPD
Hasta ahora, la AEPD ha venido desarrollando sus funciones consultivas particularizadas a demanda de los responsables y encargados individuales.
Por este motivo, el objetivo que pretende con las directrices es doble:
- Ajustar la actividad de la Agencia al principio de responsabilidad proactiva de los responsables de tratamiento. Y
- Respetar el principio de competencia administrativa y ceñirse a las funciones previstas en el RGPD para las autoridades de control sobre protección de datos personales.
Las autoridades de control —de acuerdo con la interpretación de la Comisión Europea— deben desarrollar un papel de supervisión y, entre sus funciones, no tienen las de asesorar o resolver las consultas de los responsables o encargados de tratamiento. De lo contrario, se vería afectada la imparcialidad de sus labores de investigación y supervisión.
Asesoramiento a los responsables y encargados del tratamiento
En virtud del principio de responsabilidad proactiva, los responsables y encargados del tratamiento deberían, según la AEPD:
- determinar los tratamientos de datos que impliquen el ejercicio de su actividad,
- evaluar los riesgos que suponen para los derechos y libertades de los afectados, e
- implantar las medidas necesarias para evitarlos o reducirlos.
El asesoramiento jurídico personalizado e individualizado a los responsables y encargados del tratamiento solo corresponde a los abogados y delegados de protección de datos.
Supuestos a los que la AEPD limitará la función consultiva
La AEPD limitará sus funciones consultivas a los siguientes interlocutores y supuestos recogidos en el RGPD:
- Al Parlamento, al Gobierno y a las Administraciones Públicas, sobre el desarrollo y aplicación de las normas que incidan en la protección de datos, y actuaciones administrativas que incidan en la privacidad de los ciudadanos.
- A los ciudadanos interesados que soliciten información sobre sus derechos sobre protección de datos.
- Al delegado de protección de datos en los siguientes casos:
- Cuando eleve la consulta contemplada en el artículo 35 del RGPD (para el caso de que una evaluación de impacto concluya que el tratamiento entrañaría un alto riesgo para la privacidad y el responsable no toma medidas para mitigarlo).
- Cuando consulte cuestiones de interpretación y aplicación del RGPD, solo si la consulta se ajusta al principio de responsabilidad proactiva. Esto requiere que esas cuestiones se acompañen del informe del delegado que analice los riesgos asociados al tratamiento, atendiendo a su naturaleza, alcance, contexto y fines.
La Agencia solo admitirá las consultas que reciba a través del «canal del DPD», por el delegado de protección de datos designado y comunicado previamente a la AEPD.
Se excluyen expresamente las consultas:
- relativas a tratamientos hipotéticos o que se refieran a dudas ya resueltas en las guías y contenidos publicados en la web de la AEPD,
- relativas a procedimientos en tramitación,
- que pretendan la validación de documentos o procesos.
La AEPD seguirá desarrollando, según manifiesta, sus actividades de información y sensibilización de las obligaciones en materia de protección de datos personales que recaen sobre los responsables y encargados del tratamiento.